Configurazione Host Guardian in Hyper-V

Configurazione Host Guardian in Hyper-V

Configurazione Host Guardian in Hyper-V 150 150 Leonardo

Configurazione del servizio Host Guardian in Windows Server

Per le istruzioni di installazione più aggiornate, consulta la documentazione ufficiale su https://aka.ms/ShieldedVMs – Se hai bisogno di assistenza contattami QUI

“Host Guardian Service” (HGS) è un nuovo ruolo del server introdotto in Windows Server 2016. HGS fornisce servizi di attestazione e protezione delle chiavi che abilitano Hyper- V per eseguire macchine virtuali schermate . Un host Hyper-V è noto come “host sorvegliato” una volta che il servizio di attestazione convalida in modo affermativo la propria identità e configurazione. Dopo l’attestazione affermativa, il servizio di protezione della chiave fornisce la chiave di trasporto (TK) necessaria per sbloccare ed eseguire VM schermate.

Le VM schermate proteggono i dati e lo stato della VM supportando un dispositivo TPM (vTPM) virtuale che consente la crittografia BitLocker dei dischi della VM. Questo dispositivo vTPM è crittografato con una chiave di trasporto. HGS è un componente critico per la sicurezza che protegge il TK. Inoltre, sono stati apportati miglioramenti significativi alla sicurezza su più componenti (incluso Hyper-V) che aumentano i livelli di garanzia della sicurezza per le VM schermate. Per ulteriori dettagli su termini come VM schermate, infrastruttura protetta, host sorvegliati, ecc. Fare clic qui .

Lo scopo di questo blog è illustrare i passaggi di configurazione predefiniti per il ruolo del servizio di sorveglianza host e i componenti di supporto Hyper-V corrispondenti. Per scenari avanzati e ulteriori informazioni sulla topologia dell’infrastruttura protetta, consultare ladell’infrastruttura protetta guida alla distribuzione .

1. Installazione del ruolo Host Guardian Service (HGS)

Su una macchina che esegue Windows Server 2016, installare il ruolo Host Guardian Service utilizzando Server Manager o Windows PowerShell. Come best practice per la sicurezza, si consiglia di utilizzare una macchina fisica dedicata che esegue l’opzione di installazione Server Core per HGS.

Utilizzo di Server Manager:

thumbnail image 1 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Step by Step - Configuring the Host Guardian Service in Windows Server 2016

Utilizzo di PowerShell:

thumbnail image 2 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Step by Step - Configuring the Host Guardian Service in Windows Server 2016

2. Configurazione del server HGS

Dopo aver installato il ruolo HGS, è comunque necessario configurare il ruolo per renderlo un server HGS completamente funzionale. Tutta la gestione di HGS viene eseguita tramite Windows PowerShell.

Nota: questo blog presuppone la modalità di installazione predefinita per HGS in cui verrà creata una nuova foresta di Active Directory appositamente per il servizio di sorveglianza host. Se desideri invece unire HGS a un dominio Active Directory esistente e altamente affidabile, consulta la guida alla distribuzione dell’infrastruttura protetta per i passaggi di configurazione aggiuntivi da eseguire.

2.1. Install-HgsServer

Il primo passaggio è configurare la foresta Active Directory dedicata per i server HGS. Ogni nodo nel cluster HGS è un controller di dominio per questo dominio privato. Assicurati che il server HGS non sia già aggiunto a un dominio prima di eseguire questo comando.

thumbnail image 3 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Step by Step - Configuring the Host Guardian Service in Windows Server 2016

Dopo il riavvio della macchina, sarà il controller di dominio principale per il dominio appena creato. Accedi al server con il tuo account amministratore per continuare il processo di configurazione di HGS.

2.2. Initialize-HgsServer

Con il dominio impostato, è ora il momento di configurare il cluster HGS ei servizi Web per la protezione e l’attestazione della chiave. Avrai bisogno di 2 certificati (1 per la firma, 1 per la crittografia) per completare questo passaggio.

thumbnail image 4 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Step by Step - Configuring the Host Guardian Service in Windows Server 2016

“HgsServiceName” verrà utilizzato per registrare il nome del servizio cluster con il server DNS locale. Nell’esempio precedente, il nome del servizio è “HGS”, quindi l’FQDN del servizio sarà “HGS.DomainName.com” (fare riferimento al nome di dominio specificato in Install-HgsServer).

Il parametro “TrustTpm” specifica la modalità di funzionamento del servizio di attestazione. Per le fabric affidabili per TPM, utilizzare “-TrustTpm”. Se i computer host non soddisfano i requisiti hardware per l’attestazione TPM, è possibile configurare HGS per utilizzare l’attestazione AD con il parametro “-TrustActiveDirectory”.

Gli ultimi 4 parametri servono a specificare i certificati di firma e crittografia, dove i certificati vengono forniti come riferimenti a file PFX protetti da password che contengono le chiavi pubblica e privata di ciascun certificato. Questi certificati vengono usati dal servizio di protezione delle chiavi in ​​HGS per decrittografare le chiavi delle macchine virtuali schermate. I proprietari di VM schermate utilizzano le chiavi pubbliche per autorizzare un fabric a eseguire le proprie VM.

Se stai configurando HGS nel tuo laboratorio di test, puoi utilizzare certificati autofirmati per iniziare rapidamente. Per generare certificati autofirmati ed esportarli in file PFX, utilizzare i cmdlet New-SelfSignedCertificate ed Export-PfxCertificate.

Quando si utilizzano certificati supportati da HSM o certificati non esportabili dalla PKI, verrà specificata l’identificazione personale del certificato invece di un file PFX e una password durante l’esecuzione di Initialize-HgsServer. La guida alla distribuzione dell’infrastruttura protetta spiega i passaggi aggiuntivi da eseguire quando si utilizzano certificati PKI o certificati supportati da HSM.

2.3. Convalidare la configurazioneconfigurato

Una voltail server HGS primario, è possibile eseguire la diagnostica HGS per assicurarsi che tutto sia impostato correttamente. In PowerShell, esegui il comando seguente per verificare se sono presenti passaggi aggiuntivi da eseguire.

thumbnail image 5 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Step by Step - Configuring the Host Guardian Service in Windows Server 2016

3. Autorizzazione di host protettihost

Prima che unHyper-V possa eseguire VM schermate, HGS deve essere configurato con criteri di attestazione utilizzati per determinare se l’host è “integro” e autorizzato a richiedere chiavi per VM schermate.

3.1. Attestazione attendibileattestazione attendibile

TPM Per l’TPM, è necessario recuperare la chiave di verifica (EK) del TPM 2.0 di un host protetto e aggiungerla all’elenco degli host autorizzati in HGS.

Su ogni host, utilizza il cmdlet Get-PlatformIdentifier per generare un file XML contenente EKpub ed EKcert.

thumbnail image 6 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Step by Step - Configuring the Host Guardian Service in Windows Server 2016

Copiare questo file nel server HGS e utilizzare il cmdlet Add-HgsAttestationTpmHost per autorizzare l’host sorvegliato con il servizio di attestazione:

thumbnail image 7 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Step by Step - Configuring the Host Guardian Service in Windows Server 2016

3.2 Attestazione attendibile AD

Per l’attestazione attendibile dall’amministratore, l’host sorvegliato dovrebbe far parte di un gruppo di sicurezza di Active Directory. Utilizzare Add-HgsAttestationHostGroup per autorizzare il SID del gruppo Active Directory con il servizio di attestazione:

thumbnail image 8 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Step by Step - Configuring the Host Guardian Service in Windows Server 2016

Nota: per l’attestazione attendibile da AD, è inoltre necessario stabilire un trust unidirezionale tra il dominio di Active Directory dell’infrastruttura e il dominio HGS. Consulta la guida alla distribuzione per istruzioni su come configurare questo trust.

4. Configurazione dei criteri (solo attestazione TPM attendibile)attestazione

Per l’TPM attendibile, viene verificata anche l’integrità del software dell’host protetto. È necessario configurare criteri di base con il servizio di attestazione per stabilire una o più configurazioni host autorizzate (note valide).

Nota: per l’attestazione attendibile da AD, la configurazione dell’host sorvegliato non viene verificata. Pertanto, i passaggi seguenti non sono necessari per l’attestazione attendibile di Active Directory.

4.1. Add-HgsAttestationCIPolicy

Su un host di riferimento (a volte chiamato golden image) completamente configurato con tutti gli agenti e le funzionalità software installati, eseguire il cmdlet New-CIPolicy per generare un criterio di integrità del codice. Questo criterio verrà applicato a ogni macchina con la stessa configurazione e viene utilizzato per impedire l’esecuzione di software non autorizzato sull’host. Sarà necessario creare una policy CI una volta per ogni configurazione hardware / software univoca nel datacenter. Consultare laalla guidadistribuzione per istruzioni dettagliate sui cmdlet dei criteri CI.

Una volta generato, avrai un criterio di integrità del codice memorizzato in un file binario con estensione .p7b. Copia questo file sul tuo server HGS e aggiungilo al servizio di attestazione:

thumbnail image 9 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Step by Step - Configuring the Host Guardian Service in Windows Server 2016

4.2. Get-HgsAttestationBaselinePolicy

Successivamente, per ogni configurazione hardware univoca nel datacenter è necessario raccogliere un criterio di base del TPM. Questo file conterrà informazioni sulla sequenza di avvio UEFI fino al punto in cui il controllo del sistema viene trasferito al caricatore di avvio di Windows. È convalidato da HGS per garantire che il sistema non abbia tentato di caricare codice non autorizzato come un rootkit prima del caricamento di Windows.

Per acquisire un criterio di base del TPM, eseguire il comando seguente su un host di riferimento:

thumbnail image 10 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Step by Step - Configuring the Host Guardian Service in Windows Server 2016

Copiare il file sul server HGS e registrarlo con il servizio di attestazione:

thumbnail image 11 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Step by Step - Configuring the Host Guardian Service in Windows Server 2016

5. Configurare il client HGS

Il passaggio finale è configurare ogni host sorvegliato con cui attestare e richiedere chiavi dai tuoi server HGS. Puoi trovare i due URL da utilizzare qui eseguendo Get-HgsServer sul server HGS. Eseguire il seguente comando su ogni host sorvegliato:

thumbnail image 12 of blog post titled 
	
	
	 
	
	
	
				
		
			
				
						
							Step by Step - Configuring the Host Guardian Service in Windows Server 2016

questo comando attiverà un tentativo di attestazione con il server e mostrerà il suo risultato. Se “IsHostGuarded” non è vero, controlla lo stato dell’attestazione e lo stato secondario per le indicazioni sul motivo per cui il tuo host non ha superato l’attestazione con HGS.

6. Conclusione

Ora che il servizio di attestazione HGS è stato configurato con le informazioni sugli host attendibili e le relative configurazioni attendibili nel tuo data center, sei pronto per creare la tua prima VM schermata. Dai un’occhiata a questo post del blog o alla guida alla distribuzione per informazioni sulla creazione di una VM schermata.

Hai Bisogno di Assistenza con Hyper-V?

Assistenza Remota

  1. Contattami su WhatsApp al 3516386434 o Email
  2. Procurati TeamViewer o AnyDesk
  3. Problema risolto

Per Assistenza Hardware o Software dal vivo, puoi visitare la pagina Contatti QUI e fissare un appuntamento